Непропатченная уязвимость в сетевых принтерах потребительского и корпоративного класса, произведенных и продаваемых под маркой Brothers, создает условия для удаленных DoS-атак.

Эксперты ИБ из команды SpiderLabs компании Trustwave сообщили о проблеме в понедельник. Открытой публикации предшествовало несколько бесплодных попыток связаться с компанией Brother — включая интернет-чат с работником службы поддержки 3 октября, спустя почти месяц после подачи отчета об уязвимости. Threatpost попросил Brother прокомментировать ситуацию, однако на момент публикации ответа не последовало.

По словам Trustwave, уязвимость присутствует во всех принтерах Brother со встроенным веб-сервером Debut. Для эксплуатации дыры достаточно направить принтеру один вредоносный запрос. Карл Сиглер (Karl Sigler), директор по аналитике угроз в Trustwave, сообщил, что веб-серверу фронтенда Debut уже 15 лет и что уязвимости подвержены все версии прошивки вплоть до 1.20.

“Для корпоративной сети [атака] будет выглядеть как обычный HTTP-трафик. Чтобы получить DoS-эффект, достаточно отправлять один запрос каждые несколько минут, — отметил Сиглер в комментарии для Threatpost. — Если принтер подключен к Интернету, для атаки больше ничего не потребуется. В ином случае придется сначала получить доступ к внутренней сети (скорее всего, методом социальной инженерии)”.

По словам Сиглера, в настоящее время онлайн регистрируются 14 989 уязвимых устройств — такие результаты дал поиск в Shodan. Это лишь небольшой процент от всех принтеров Brother.

Как признал Сиглер, в большинстве случае для успешной атаки все же придется сначала получить доступ к локальной сети.

Атаку можно начать, отправив на принтер некорректный запрос HTTP POST. В ответ злоумышленник получит стандартный код ошибки 500, который указывает, что сервер недоступен и не в состоянии обработать задание печати.

“К сожалению, несмотря на многочисленные попытки связаться с Brother по этому вопросу, непохоже, что они готовят исправление. Администраторам придется решать проблему по собственному усмотрению, — заявили в Trustwave. — Риски можно снизить, если жестко контролировать доступ с помощью брандмауэра или аналогичного устройства, чтобы к Интернету могли подключаться только те администраторы, которым это действительно нужно по работе. К сожалению, неадекватный контроль доступа встречается гораздо чаще, чем хотелось бы”.

Как бы то ни было, похоже, в ближайшее время уязвимость исправлена не будет. По словам Сиглера, даже если бы в Brother подготовили обновление, скорее всего, его пришлось бы устанавливать вручную. Это весьма распространенная ситуация для большинства подключенных устройств, в которых не предусмотрен автоматизированный механизм установки обновлений безопасности и функций. И злоумышленники с готовностью эксплуатируют подобные дыры для проведения DDoS-атак, как мы уже видели на примере Mirai.

Как заметили специалисты Trustwave, “многие отмахиваются от атак DoS, считая их просто мелким неудобством. Однако они оттягивают на себя ресурсы и снижают производительность всей организации, а также могут служить отвлекающим маневром во время целевой атаки. Что если во время атаки DoS злоумышленник явится в организацию под видом техника и притворится, будто готов решить проблему? Так он получит прямой доступ к физическим IT-активам, к которым невозможно подключиться удаленно”.

Категории: Аналитика, Уязвимости